2021年のサイバー脅威振り返り!2022年に予想される脅威とは?
こんにちは!YamaSanです! 2021年は、新型コロナウイルス蔓延により度重なる緊急事態宣言発令などがあり、2020年に引き続きテレワークが推進されてきました。また、東京オリンピック開催という自国での大きなイベントもありました。今回は、このような出来事がもたらす脅威への影響も含め、IPAが発行する「情報セキュリティ10大脅威2021」のランキングに基づき、2021年のサイバー脅威を振り返ります。また最後には、2022年に予想される脅威について考えていきます。
IPA「情報セキュリティ10大脅威2021」で振り返るサイバー脅威
順位 | 脅威 |
1位 | ランサムウェアによる被害 |
2位 | 標的型攻撃による機密情報の窃取 |
3位 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
4位 | サプライチェーンの弱点を悪用した攻撃 |
5位 | ビジネスメール詐欺による金銭被害 |
6位 | 内部不正による情報漏えい |
7位 | 予期せぬIT基盤の障害に伴う業務停止 |
8位 | インターネット上のサービスへの不正ログイン |
9位 | 不注意による情報漏えい等の被害 |
10位 | 脆弱性対策情報の公開に伴う悪用増加 |
2021年は、2020年に引き続き「ランサムウェアによる被害」「標的型攻撃による機密情報の窃取」が猛威を振るいました。さらに、新しい働き方に伴う脆弱性を狙った脅威がランキングに台頭しました。ここから先は、上位4つの脅威について、傾向を解説していきます。
1位 ランサムウェアによる被害
ランサムウェアとは、データやシステムを暗号化し、復号化を条件に金銭を要求するマルウェアですが、近年の傾向として「多重脅迫」があげられます。多重脅迫において攻撃者は、上記の一般的な脅迫に加え、窃取したデータを公開しないことと引き換えにさらなる身代金を要求するのです。
実際に2021年、米国の燃油供給網を狙った多重脅迫の事例がありました。
このサイバー犯罪集団は、標的企業の端末をロックしたほか、窃取した機密情報を人質に以下のような脅迫を実施しました。
- 脅迫①:ファイル暗号化後、暗号資産での身代金支払いを要求
- 脅迫②:窃取した機密情報を公開するという脅迫を実行
- 脅迫③:DDoS攻撃により、サービスを停止させて脅迫を実行
- 脅迫④:標的企業の顧客に対して、メールセンター・コールセンターから連絡し脅迫を実行
以上のように、近年のランサムウェア攻撃では、確実により多くの金銭を回収できるよう、攻撃が仕掛けられています。
2位 標的型攻撃による機密情報の窃取
標的型攻撃は、機密情報の窃取を目的として特定の個人や組織・企業を狙う攻撃ですが、近年セキュリティ対策が脆弱な大企業の取引先(中小企業や海外拠点)を攻撃対象とする傾向にあります。また、なりすましメールやフィッシングサイトを使うことで、社内ネットワークへの侵入を試みる手法がとられます。
2021年、海外拠点社員のメールアカウントの乗っ取りを皮切りに、攻撃がしかけられた事例がありました。以下の図を使って説明します。まず、A社海外拠点の社員PCが攻撃者に乗っ取られました。その後、乗っ取ったPCから、フィッシングサイトに誘導するメールが社内外併せて600件以上送付され、A社ネットワークへの侵入が試みられました。このように、標的型攻撃において、攻撃者は無差別にウイルスをばらまくのではなく、特定の組織を明確な標的に絞って攻撃を行うため、より一層の対策が必要なのです。
3位 テレワーク等のニューノーマルな働き方を狙った攻撃
「テレワーク等のニューノーマルな働き方を狙った攻撃」の傾向としては、VPN製品などを狙った攻撃があります。VPNとは、インターネット上に設定する仮想の専用線であり、特定の人のみが利用可能なネットワークです。テレワーク環境下で、自宅から社内ネットワークにリモートアクセスするため、VPN利用が増加しましたが、脆弱性対策が不十分なVPN製品を狙った攻撃が相次ぎました。
実際、2020年8月には、国内外900社以上のVPN情報が流出していた、という報道がありました。被害企業はみなA社製のVPN製品を利用しており、製品の脆弱性が悪用された情報漏えい事故でした。A社のVPN製品は2019年4月に脆弱性が指摘されており、A社はすぐにパッチをリリースしたにもかかわらず、利用者が更新前のVPN製品を利用していることが情報漏えいの原因とされました。 警視庁のデータによると、ランサムウェア被害の感染経路で最も多いのは、VPN機器からの侵入(全体の55%)となっています。 攻撃者に脆弱性を狙われないように、パッチがリリースされた際は速やかに適用するなどの脆弱性対策が必要になります。
>>警察庁が2021年上半期のランサムウェア被害状況を調査、感染経路はVPN機器からの侵入が最多 | ScanNetSecurity
4位 サプライチェーンの弱点を悪用した攻撃
セキュリティ対策が十分に行われているターゲット企業に対し、セキュリティ対策が手薄な子会社や取引先を踏み台にして攻撃を仕掛ける、サプライチェーンの弱点を悪用した攻撃が2021年も多くみられました。近年は、十分な対策を行わず、テレワークを実施している企業もあるため、3位のテレワーク等のニューノーマルな働き方を狙った攻撃」とも関連した、脆弱なVPN機器もサプライチェーンの狙われるポイントとなっています。
取引先にも一定のセキュリティレベルを求めるなど、システムでの対策以外に、管理体制の構築などの人的対策も有効です。この攻撃の特徴として、自社がいつの間にか加害者側になっているケースもあるため、十分な対策が必要です。
東京オリンピックの影響
東京オリンピックに伴う大きな攻撃を実感された方は少ないかもしれませんが、次のような脅威が報告されています。組織を狙った攻撃としては、大会委員会公式サイトへのDDoS攻撃、内閣サイバーセキュリティセンターへの不正アクセスによる情報流出、個人を狙った攻撃では、大会関係者を狙った不審なフィッシングメールやチケット販売を名乗るスミッシングなどです。このように、脅威は時流に合わせて柔軟に変化することがわかります。
2022年に予想される脅威シナリオとは?
情報セキュリティ10大脅威2022ランキング予想
順位 | 脅威 |
1位 | ランサムウェアによる被害 |
2位 | 標的型攻撃による機密情報の窃取 |
3位 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
4位 | IoT機器の不正利用 |
5位 | サプライチェーンの弱点を悪用した攻撃 |
6位 | ビジネスメール詐欺による金銭被害 |
7位 | 5Gシステムの脆弱性を狙った攻撃 |
8位 | 内部不正による情報漏えい |
9位 | 予期せぬIT基盤の障害に伴う業務停止 |
10位 | 不注意による情報漏えい等の被害 |
2021年も上位にランクインしているランサムウェアと標的型攻撃ですが、2022年も引き続き猛威を振るうことが予想されます。また、テレワークなどのニューノーマルな働き方は今後続いていくものと考えられ、対策が不十分な組織は標的となるでしょう。さらに、IoT機器や5Gシステムの脆弱性を狙った攻撃も予想されます。5Gが本格導入されることで、IoT機器の利用も増加するため、脆弱性を狙った攻撃にはより一層の対策が必須となります。
セキュリティに関するお問い合わせはこちら
これまで、2021年のサイバー脅威振り返りと2022年の脅威予想についてお届けしました。
業務・事業継続を脅かす攻撃から組織を守るためには、対策が不可欠です。また、万が一攻撃された際に迅速な対応ができる体制を整えておくことも重要です。対策・対応について、お困りごとがありましたら、お気軽にご相談ください。シーイーシーでは以下のサービスを提供しております。ご参考にしていただけますと幸いです。